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(57) Abrege' 



Le proc&ie met en oeuvre une premiere entity "a authentifier", poss6dant une cl6 publique v et une cl6 secrete s, ces cl6s 6tant reliefs 
par v^s-'Onod n) ou n est un entier appete module et t un parametre, et une seconde entit6 "authentifiante", connaissant la c!6 publique v. Ce 
proc&le' comprend des echanges d* informations du type a apport nul de connaissance entre l'entite* a authentifier et l'entite* authentifiante et 
des calculs cryptographiques portant sur ces informations, certains calculs 6tant effectu6s modulo n. Le proceMe' de T invention est caracteris6 
en ce que le module n est propre a l'entite* authentifiee, laquelle communique ce module a l'entite* authentifiante 
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1 

PROCEDE D f AUTHENTIFICATION OU DE SIGNATURE A NOMBRE DE 

CALCUX.S REDUIT 



Domaine technique 
5 La presente invention a pour objet un procede 

d 1 authentif ication ou de signature a nombre de calculs 
reduit . 

L* invention concerne plus precisement le 
domaine de la cryptographie dite a cle publique. Dans 

10 de tels procedes, l'entite a authentif ier possede une 
cle secrete et une cle publique associee. L'entite 
authentif iante a uniquement besoin de cette cle 
publique pour realiser 1 1 authentif ication . 

L 1 invention concerne plus precisement encore le 

15 domaine des procedes d 1 authentif ication dits a 
connaissance nulle ou sans apport de connaissance 
("zero-knowledge"). Dans ce type de procede, 
1 1 authentif ication se deroule suivant un protocoie qui, 
de facpon prouvee, et sous des hypotheses reconnues 

20 comme parf aitement raisonnables par la communaute 
scientif ique, ne revele rien sur la cle secrete de 
l'entite a authentif ier . 

Plus precisement encore, l 1 invention concerne 
des procedes sans apport de connaissance bases sur le 

25 probleme de la factorisation (c'est-a-dire sur la 
difficulty de decomposer de grands entiers en un 
produit de nombres premiers) . 

L f invention trouve une application dans tous 
les systemes necessitant d 1 authentif ier des entites ou 

30 des messages, ou de signer des messages, et plus 
particulierement dans les systemes ou le nombre de 
calculs effectues par l'entite authentif iee constitue 
un parametre critique. C'est notamment le cas des 
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cartes a microcircuit standards ou a bas cout, non 
pourvues d'un coprocesseur arithmetique (appele souvent 
cryptoprocesseur) pour accelerer les calculs 
cryptographiques . 
5 Une application typique de 1' invention est le 

porte-monnaie electronique, qui requiert un tres haut 
niveau de securite, tout en excluant 1* usage d 1 un 
cryptoprocesseur, soit pour des raisons de cout, soit 
pour des raisons techniques (par exemple 1 ' utilisation 
10 d'une interface sans contact), soit pour les deux. 

Une autre application possible est la telecarte 
de future generation, pour laquelle les contraintes de 
cout sont encore bien plus severes que pour le porte- 
monnaie electronique . 

15 

Etat de la technique anterieure 

De nombreux protocoles d 1 identification du type 
sans apport de connaissance sont connus. On peut citer, 
par exemple : 

20 - le protocole de FIAT-SHAMIR decrit dans 1' article de 
A. FIAT et A. SHAMIR intitule "How to prove 
yourself : Practical solutions to identification and 
signature problems", publie dans "Advances in 
Cryptology : Proceedings of CRYPTO '8 6, Lecture Notes 

25 in Computer Science", vol, 263, Springer-Verlag, 

Berlin, 1987, pp. 186-194, 
- le protocole de GUILLOU-QUISQUATER decrit dans 
l'article de L.C. GUILLOU et J.J. QUISQUATER, 
intitule "A practical zero-knowledge protocole fitted 

30 to security microprocessors minimizing both 

transmission and memory", publie dans "Advances in 
Cryptology : Proceedings of EUROCRYPT '88, Lecture 
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Notes in Computer Science", vol. 330, Springer- 
verlag, Berlin, 1988, pp. 123-128, 
- le protocole de GIRAULT decrit dans la demande de 
brevet frangais FR-A-2 716 058, base sur le probleme 
5 dit du logarithme discret. 

De fagon generale, la plupart des protocoles 
d 1 identification (ou d ' authentif ication de message) a 
apport nul de connaissance se deroulent en trois 
echanges. On supposera, afin de simplifier la 
10 description, que l'entite authentif iante B connait deja 
tous les parametres publics caracteristiques de 
l'entite a authentif ier A, a savoir son identite, sa 
cle publique, etc.. 

Lors du premier echange, A fournit a B une 
15 valeur c dite "engagement", image par une fonction 
pseudo-aleatoire h d'un parametre x (lui-meme calcule a 
partir d'un nombre r choisi au hasard par A), ainsi 
que, s 1 il y a lieu, du message a authentif ier ou a 
signer : c=h(x, [M] ) ou la notation [M] exprime que M 
20 est optionnel. C ! est la premiere etape. Dans certains 
protocoles, il peut y avoir plusieurs engagements. 

Lors d'un deuxieme echange, B envoie a A un 
parametre e choisi au hasard (la "question"). C'est la 
deuxieme etape. 

25 Lors du troisieme echange, A fournit a B une 

"reponse" y, coherente avec la question e, 1 1 engagement 
c et la cle secrete v de A (troisieme etape) . 

Enfin, B controle la reponse regue . Plus 
precisement , B recalcule x a partir des elements y, e 
30 et v par x=cp(y,e,v) ; puis il verifie que : 
c=h (<p ( v, e, y) , [M] ) (quatrieme etape). 

Dans le cas ou il n'y a pas de message a 
authentif ier , le recours a la fonction pseudo-aleatoire 
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h est optionnel. On peut prendre alors c=x. La 
verification consiste alors a verifier que x=cp(y,e,v). 

Dans certains protocoles, il y a un ou deux 
echanges supplementaires entre les entites a 

5 authentifier et authentif iante . 

Dans le cas d 1 une signature de message, les 
deux premiers echanges sont supprimes, car le parametre 
e est choisi egal a c ; A calcule alors successivement, 
et seul, c, e(=c) et y. 

0 Le nombre u de questions possibles est 

directement relie au niveau de securite du protocole. 
Ce dernier est defini comme la probability p de 
detection d'un imposteur ( c ' est-a-dire d'une entite C 
qui tente f rauduleusement de se f aire passer pour A) , 

5 et est caracterise par un parametre k. Les nombres p et 
k sont relies par l'egalite : p=l-2" k . En d'autres 
termes, 1 T imposteur n'a qu 1 une chance sur 2 k de reussir 
son imposture. Dans le cas present, on peut montrer 
que, si le protocole repose sur un probleme 

D mathematique difficile, et si les engagements sont de 
longueur suffisante, alors il suffit que la longueur de 
u soit egale a k bits. Typiquement, k est egal a 32 
bits, ce qui donne seulement une chance sur quatre 
milliards de reussir une imposture. Dans les 

3 applications ou l'echec d'une identification peut avoir 
des consequences tres nefastes (poursuite judiciaire 
par exemple), cette longueur peut etre reduite a 
quelques bits. 

Dans les protocoles bases sur la factorisation, 

) le calcul de x a partir de r, ou le calcul de y a 
partir cle e, ou les deux, implique(nt) des operations 
modulo n ou n est un nombre compose difficile a 
factoriser. Ce nombre est de type universel, c'est-a- 
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dire genere par une tierce partie de confiance, 
memorise et utilise par toutes les entites qui y sont 
rattachees. Le caractere universel de n implique qu'il 
est de tres grande taille ( typiquement 1024 bits), car 
5 la decouverte de la factorisation de n compromettrait 
les cles secretes de tous les utilisateurs . 

Dans leur version de base, aucun des protocoles 
mentionnes plus haut • ne peut etre mis en oeuvre dans 
une application soumise a de fortes contraintes, (bas 

10 cout, faible complexite) telles que decrites dans la 
section precedente, car les calculs requis ne 
pourraient etre effectues par une carte a microcircuit 
qui ne serait pas dotee d'un cryptoprocesseur . 

La demande de brevet frangais FR-A-2 752 122 

15 decrit bien une optimisation de ces protocoles, mais 
cette optimisation reste limitee aux protocoles bases 
sur le logarithme discret dans un mode dit "a 
precalculs" qui presente 1 1 inconvenient d ! impliquer des 
rechargements a intervalles reguliers . 

20 

La presente invention a justement pour but de 
remedier a cet inconvenient. Elle tend a reduire le 
nombre de calculs effectues par l'entite authentif iee 
dans les protocoles d ' identification (ou 

25 d f authentif ication de message ou de signature de 
message) sans apport de connaissance bases sur la 
factorisation, cette reduction pouvant atteindre un 
facteur 2 ou 3. 

Elle rend ainsi possible, et plus 

30 particulierement quand on la couple avec le protocole 
Guillou-Quisquater, 1' execution rapide d'un algorithme 
d 1 identification (ou d 1 authentif ication de message ou 
de signature de message) a cle publique dans une carte 
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a microcircuit standard a bas cout, pour des 
applications telles que le porte-monnaie electronique 
ou la telecarte de future generation. 



5 Expose de l 1 invention 

Ce but est atteint en choisissant pour le 
module n non pas un parametre de type universel, mais 
un parametre de type individuel (en d'autres termes, 
chaque utilisateur possede sa propre valeur de n) , et 
10 d 1 exploiter ce choix des deux manieres suivantes, (qui 
peuvent d'ailleurs etre avantageusement combinees) : 

1) d'abord en choisissant une taille de n inferieure a 
la valeur usuelle ( typiquement inferieure a 1000 et 
par exemple comprise entre 700 et 800) ; cela est 

15 possible car la decouverte de la factorisation de n 

ne compromet plus que la cle secrete de 
1 1 utilisateur correspondant et en aucune fagon celle 
des autres ; cette seule modification permet de 
reduire deja d'environ 40% la duree des calculs 

20 effectues modulo n ; 

2) si 1 1 utilisateur a conserve les facteurs premiers de 
n dans la memoire de son dispositif de securite, on 
peut mettre en oeuvre la technique dite des restes 
chinois, pour reduire encore d'environ 40% la duree 

25 des calculs effectues modulo n, lorsque le nombre de 

facteurs premiers est 2 ; cette reduction peut etre 
encore amplifiee en utilisant plusieurs facteurs 
premiers (typiquement 3 ou 4 ) . 

Au total, on peut done reduire les temps de 
30 calcul modulo n d f au moins 60%, e'est-a-dire d'au moins 
un facteur 2. 
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De fagon precise, l 1 invention a pour objet un 
precede d ' authentif ication mettant en oeuvre une 
premiere entite dite "a authentif ier" , possedant une 
cle publique v et une cle secrete s, ces cles etant 
reliees par une operation modulo n ou n est un entier 
appele module, et une seconde entite dite 
"authentif iante" , connaissant la cle publique v, ces 
entites comprenant des moyens aptes a echanger des 
informations du type a apport nul de connaissance et a 
effectuer des calculs cryptographiques portant sur ces 
informations, certains calculs etant effectues modulo 
n, ce procede etant caracterise en ce que le module n 
est propre a 1 ! entite a authentif ier , laquelle 
communique ce module a 1' entite authentif iante . 

Les entites dont il est question peuvent etre, par 
exemple des cartes a microcircuit , des porte-monnaie 
electroniques, des telecartes, etc . . . 

Dans un mode de mise en oeuvre avantageux, 
l f operation modulo n est du type v=s _t (mod n) ou t est 
un parametre, et les echanges d 1 informations du type a 
apport nul de connaissance et les calculs 
cryptographiques sont les suivants : 



• l ! entite a authentifier choisit au hasard un 
(des) nombre(s) entier (s) r compris entre 1 et 
n-1 et calcule un (des) parametre (s) x egal 
(egaux) a r fc (mod n) , puis un (des) nombre(s) c 
appele (s) engagement ( s ) qui est (sont) une 
(des) fonction(s) de ce (ces) parametre (s) et 
eventuellement d'un message (M) , et envoie cet 
(ces) engagement (s) a 1' entite authentif iante ; 

• 1' entite authentif iante regoit le ou les 
engagement (s) c, choisit au hasard un nombre e 
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appele "question" et envoie cette question a 
l f entite a authentifier ; 

• 1 'entite a authentifier reqroit la question e, 
effectue un (des) calcul(s) utilisant cette 

5 question e et la cle secrete s, le resultat de 

ce (ces) calcul(s) constituant une (des) 
reponse(s) y, et envoie cette (ces) response (s) 
a 1 ? entite authent if iante ; 

• 1' entite authentif iante regoit la (les) 
10 reponse(s) y, effectue un calcul utilisant la 

cle publique v et le module n, et verifie par 
une operation modulo n que le resultat de ce 
calcul est bien coherent avec le (les) 
engagement (s) regu(s) . 

15 

La taille du nombre n, exprimee en nombre de 
bits, est inferieure a 1000. Elle peut etre, par 
exemple, comprise entre 700 et 800. 

La presente invention a egalement pour objet un 

20 procede de signature de message par une entite dite 
"signataire", cette entite possedant une cle publique y 
et une cle secrete s, ces cles etant reliees par une 
operation modulo n ou n est un entier appele "module" 
et t un parametre, procede dans lequel 1 ! entite 

25 signataire calcule un engagement c fonction notamment 
du message a signer et un nombre y fonction de la cle 
secrete, emet les nombres y et c qui constituent la 
signature du message et le message, ce procede etant 
caracterise en ce que le module n est propre au 

30 signataire. 

Dans un mode de mise en oeuvre avantageux, le 
signataire choisit au hasard un nombre entier r compris 
entre 1 et n-1, calcule un parametre x egal a 
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r t (mod n) , calcule un nombre c fonction du parametre x 
et du message a signer, calcule un nombre y a l'aide de 
sa cle secrete j5 et fonction des nombres r et e, et 
emet les nombres c et y comme signature. 

5 

Description detaillee de modes particuliers de mise en 
oeuvre de 1' invention 

Dans la description qui suit, 1 1 invention est 
supposee etre appliquee au protocole GUILLOU-QUISQUATER 
10 mais r naturellement , il ne s f agit la que d ? un exemple 
et 1' invention n'est nullement limitee a ce protocole. 

On rappelle que dans le protocole de GUILLOU- 
QUISQUATER, les parametres universels sont le module n, 
produits de nombres premiers et comprenant au moins 
15 1024 bits, et un nombre t entier. 

La cle publique v et la cle secrete s sont 
reliees par 1' equation : v=s -t (mod n) . 

Le niveau de securite choisi est u ( infer ieur 
ou egal a t, et le plus souvent, u=t) . 
20 L ' authentif ication de A par B, que 1 1 on peut 

appeler respectivement Alice et Bob selon la 
terminologie en usage, se deroule comme suit : 
1. Alice choisit r dans I'intervalle [l,n-l], calcule 
x=r t (mod n) puis c=h(x, [M] ) et envoie c a Bob. 
25 2. Bob choisit e dans l'intervalle [0,u-l] et envoie e 
a Alice. 

3. Alice calcule y=rs e (mod n) et envoie y a Bob. 

4. Bob calcule x=y t v e (mod n) et verifie que c~h (x, [M] ) 

Dans le cas ou il n'y a pas de message a 
30 authentif ier, le recours a la fonction pseudo-aleatoire 
h est optionnel : on .peut prendre c=x. La verification 
consiste alors a verifier que x=y t v e (modulo n) . 
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Avec le protocole modifie selon 1 ' invention, le 
seul parametre universel est t. 

La cle publique est (n,v), ou n a au moins 768 
bits. La cle publique v et la cle secrete s d'Alice 
5 sont reliees par 1' equation : v=s" t (mod n) . 

La cle secrete peut aussi inclure les facteurs 
premiers de n afin cle beneficier du deuxieme volet de 
l f invention. 

Le parametre t peut etre inclus dans la cle 
10 publique (dans ce cas, il n'y a plus de parametre 
universel) . 

Le niveau de securite choisi par Alice et Bob 
est u (inferieur ou egal a t ; souvent u=t ) . 

L 1 authentif ication d'Alice par Bob se deroule 
15 comme decrit plus haut, mais avec des calculs plus 
rapides grace a un module plus petit, 

Puisque tous les calculs d'Alice sont effectues 
modulo n, le facteur de gain obtenu sur une unique 
multiplication modulaire se repercute sur 1' ensemble 
20 des calculs effectues par Alice durant 1' execution du 
protocole. II en serait de meme avec les protocoles de 
Fiat-Shamir ou de Girault par exemple (dans ce dernier 
cas, il n'y a pas de gain dans 1 ' etape 3 puisqu'il n'y 
a plus de calculs modulaires, mais de toute fagon le 
25 temps d' execution de cette etape est negligeable par 
rapport a 1 1 exponentiation modulaire de la premiere 
etape) . 



L f invention peut egalement etre mise en oeuvre 
par la technique dite des restes chinois, qui consiste 
a effectuer les calculs modulo chacun des nombres 
premiers composant n. Comme ces nombres sont 
necessairement beaucoup plus petits, ces calculs sont 
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rapides. II reste a calculer le resultat modulo n a 
l'aide d'une operation dite de reconstitution . Cette 
technique est decrite dans I 1 article de J.J QUISQUATER 
et C. COUVREUR, intitule "Fast decipherment algorithm 
5 for RSA public-key cryptosystem" , publie dans 
"Electronic Letters", vol. 18, Octobre 1982, pp. 905- 
907. 

On considere done le cas ou n est le produit de 

deux facteurs premiers p et q. 
10 D'apres le theoreme de Bezout, il existe deux 

entiers a et b tels que ap+bq=l. 

Pour calculer y=x e (mod n) , on commence par 

"reduire" x modulo chacun des nombres premiers en 

calculant x p =x (mod p) et x q =x (mod q) . On reduit 
15 egalement e modulo (p-1) et (q-1) en calculant 

e p =emod (p-1 ) et e q =emod (q-1 ) . (Dans le protocole de 

Guillou-Quisquater , e est toujours inferieur a p-1 et 

q-1 et par consequent ep=eq=e) . 

e 

On calcule alors y P =x p (mod p) et 

e 

20 yq=^q (mod q) . Quand p et q sont de tailles 

semblables, chacun de ces calculs est environ 8 fois 
plus rapide que le calcul y=x e (mod n) quand la taille 
de e est celle de n (premier cas) ; 4 fois plus rapide 
quand elle est inferieure ou egale a celle de p 

25 (deuxieme cas comme par exemple dans 1 1 algorithme) . 
L 1 ensemble des deux calculs est done, soit 4 fois plus 
rapide, soit 2 fois plus rapide. 

II reste a reconstituer y a partir de y p et y q , 
ce qui est realise par 1' operation : 

30 y=y P +ap (y q -y p ) (mod n) 
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Au total, la methode des restes chinois permet 
d'accelerer le calcul d ' un facteur compris entre 3 et 4 
dans le premier cas, entre 1,5 et 2 dans le deuxieme 
cas. Lorsque le nombre de facteurs premiers (supposes 
de tailles semblables) est superieure a 2 et egal a k, 
le facteur d 1 acceleration est proche de k 2 dans le 
premier cas, proche de k dans le deuxieme cas. 
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RE VEND I CAT I ONS 



1. Procede d 1 authentif ication mettant en oeuvre 
une premiere entite dite "a authentif ier" (A) , 
5 possedant une cle publique v et une cle secrete s, ces 
cles etant reliees par une operation modulo n ou n est 
un entier appele module, et une seconde entite dite 
"authentif iante" (B) , connaissant la cle publique v, 
ces entites, comprenant des moyens aptes a echanger des 

10 informations du type a apport nul de connaissance et a 
effectuer des calculs cryptographiques portant sur ces 
informations, certains calculs etant effectues modulo 
n, ce procede etant caracterise en ce que le module n 
est propre a l 1 entite a authentif ier (A) , laquelle 

15 communique ce module a l f entite authentif iante (B) . 



2. Procede selon la revendication 1, dans lequel 
l 1 operation modulo n est du type v=s _t (mod n) , t etant 
un parametre et les echanges d 1 informations du type a 
20 apport nul de connaissance et les calculs 
cryptographiques sont les suivants : 

• l 1 entite a authentif ier (A) choisit au hasard 
un (des) nombre(s) entier (s) r compris entre 1 
et n-1 et calcule un (des) parametre (s) (x) 

25 egal (egaux) a r t (mod n) , puis un (des) 

nombre(s) c appele (s) engagement (s ) qui est 
(sont) une (des) fonction(s) de ce (ces) 
parametre (s) et eventuellement d'un message 
(M) , et envoie cet (ces) engagement ( s ) a 

30 l'entite authentif iante (B) ; 

• l'entite authentif iante (B) regoit le ou les 
engagement (s) c, choisit au hasard un nombre e 
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appele "question" et envoie cette question a 
l f entite a authentifier (A) ; 

1 'entite a authentifier (A) regoit la question 
e, effectue un (des) calcul(s) utilisant cette 
question e et la cle secrete s, le resultat de 
ce (ces) calcul(s) constituant une (des) 
reponse(s) et envoie cette (ces) reponse(s) 

a I'entite authentif iante (B) ; 

1 'entite authentif iante (B) regoit la (les) 
reponse(s) y_ f effectue un calcul utilisant la 
cle publique v et le module n, et verifie par 
une operation modulo n que le resultat de ce 
calcul est bien coherent avec le (les) 
engagement (s) regu(s) . 

Procede selon la revendication 2, dans lequel 
e du nombre n, exprimee en nombre de bits, est 
re a 1 000. 

4. Procede selon la revendication 3, dans lequel 
la taille du nombre n est comprise entre 700 et 800. 

5. Procede selon 1 1 une quelconque des 
revendications 1 a 4, dans lequel n est le produit d'au 
moins deux nombres premiers (p, q) et dans lequel les 
operations modulo n sont effectuees par la methode dite 
"des restes chinois" . 

6. Procede de signature de message par une entite 
dite "signataire" (A) , cette entite possedant une cle 
publique v et une cle secrete s, ces cles etant reliees 
par une operation modulo n ou n est un entier appele 
"module" comprenant des moyens aptes a calculer un 



10 



15 



3. 

la taill 
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engagement c fonction notamment du message a signer M 
et un nombre y fonction de la cle secrete, a emettre 
les nombres y et c qui constituent la signature du 
message M et le message M, ce procede etant caracterise 
5 en ce que le module n est propre au signataire. 



7. Procede de signature selon la revendication 6, 
dans lequel 1' operation modulo n est l 1 operation 
v=s" t (mod n) et dans lequel le signataire choisit au 

10 hasard un nombre entier r compris entre 1 et n-1, 
calcule un parametre x egal a r fc (mod n) , calcule un 
nombre c fonction du parametre x et du message a signer 
M, calcule un nombre ^ a l f aide de sa cle secrete s et 
fonction des nombres r et e, et emet les nombres c et y 

15 comme signature. 
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